前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >观点 | 浅谈信息安全建设与ISO27001体系的结合

观点 | 浅谈信息安全建设与ISO27001体系的结合

作者头像
FB客服
发布2018-07-30 10:48:22
6440
发布2018-07-30 10:48:22
举报
文章被收录于专栏:FreeBuf

公司安全部门成立的较晚(目前就我一个人负责),高层领导也对信息安全没有什么认识,甚至连安全策略和针对性的法律法规文件都没有,但是运营侧小伙伴却兴致勃勃的搞起了ISO27001体系认证,那么作为大家经常说的“一个人的安全部门”,只能一边苦笑,一边配合。

前期体系的建设工作分为三步:

1、 填写各种各样的材料,没完没了的编和想象; 2、 糊弄评审老师,告诉他们我们公司目前信息安全体系很棒; 3、 请老师吃饭;

通过近半年的奋战,公司终于完成了ISO27001的复审,按照评审老师的评价:“贵公司没有什么大问题,该有的材料都有,信息安全体系建设的不错”,应该是离拿证不远了。但是作为信息安全建设管理者,回想起前段时间为了应付检查,大量撰写的“公司信息安全体系落地文件”,不经出了一身冷汗,公司的信息安全真是处于“原始社会”;

很多时候,我们在应付ISO270001评审的同时,又在对未知的信息安全问题抱有幻想,猜测与恐慌:你无法预料到那天出现安全危机,无论是技术层面上的(病毒大面积感染,公司QQ被集体脱库,绝密聊天记录被曝光,网站被DDOS等等),还是管理层面上的(内部员工泄密,间谍盗走财务数据等等);而谁也不知道我们首先应该做些什么;经过近一年的努力和探索,在这里我分享一下自己在建设公司安全管理体系和落实ISO27001之间采取的平衡策略和妥协,还请大家多多指教;

一、自己清楚体系的核心

换句话来说,你得明确贯彻落实最关键的二八原则,公司的体系建设类似于为一个人定制一套衣服,首先肯定是解决裸奔的问题,而不是舒适度或者是美观;你得清楚哪些对我们公司运营是当务之急的,哪些又是暂时没必要,没有预算,或者实施不了,甚至是实施了以后影响工作效率的;例如说信息安全工作评审,手册文件上说每一个月都要进行一次评审会议,高层必须参加,但是领导层如果不是专职信息安全的人员,而且又不懂各种各样的体系,那么与其开这种一个人说话的会议不如改成每一个月的工作汇报,通过群发邮件的方式,让大家了解进展即可;又比如面对什么信息安全制度体系都没有的技术部门,你一下子甩几个三类文件规程,和几十个日志文件给他们,让他们实现什么日志评审,第三方工作日志评审,并定期让他们跟你进行工作汇报,那么我想别人肯定也只能靠编撰了。工作如果仅仅是这样做,那“建设”就成了空话,没有意识和规定,单单靠要求是不现实的事情。

二、领导层知道你在做什么

要进行体系的建立,首先就是指定责任人与领导小组,这些领导小组无非是一些公司的高层,很多做信息安全体系建设的同事对此嗤之以鼻,觉得他们都不懂安全,不应该由他们来组织实施体系的建设工作;

但是,不懂安全的领导来担任信息安全指挥家,不是更能够让你“为所欲为”了吗;你也不能一个人埋头苦干而忽视了领导层,毕竟领导们处在的位置决定了他们比你更好调动资源。

三、根据公司的运营现状阶段实施

对一个操作进行评审的前提,是必须要有这个操作,这是毋庸置疑的。进行体系建设也一样,如果说我们刚刚进行了防火墙日志的统计和收集,大家还不了解日志的内容,甚至说里面充斥着大量的冗余无关日志,那么进行日志的评审就显得没有必要了,这时候的当务之急应该是将日志进一步进行分析,精简,等过了这个阶段,日志分析纳入了日常工作范畴,评审才能够提上议程;

四、划分部门指导工作与培训

公司整体性提升信息安全意识要靠定期的培训与宣传,但是针对管理体系的培训更应该因人而异。初到公司我也进行过培训,让大家了解到信息安全建设的重要性,ISO27001体系对公司会有哪些好处。但是效果并不明显,第一是因为大家才初步了解信息安全的概念,这个时候提信息安全体系还为时过早;第二是因为每一个部门对信息安全体系的侧重点并不一样,研发部门可能会关心他们辛辛苦苦写出的代码,而财务部门却关心的是公司的防泄密体系;这个时候,周期性的,针对部门进行培训,并在其中穿插进体系的内容,大家就好理解。由浅到深尤为重要,比如这个月我针对财务系统给大家讲解了脆弱性和威胁,那么大家对风险评估就会有一定的理解,接下来开展相应的资产识别工作就容易了很多。

五、和监管部门进行配合

信息安全工作请务必让公司的“内控监察”部门配合,实现有法可依和制度的执行;特别是当初到公司,信息安全管理制度一片空白的情况下,不能每一件事都是“善意的提醒”,例如,我们可以在“内控监察”的配合下,对员工的日常行为进行了规范,(如清屏策略,密码复杂度要求,内外网分离要求等),纳入每一个月的绩效考核中,让每一个人心中都有一个最基础的信息安全意识。

初次发文,学识浅陋,如果错误或疑问,敬请海涵,欢迎评论探讨,批评指正!

*本文作者:gakusen,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、自己清楚体系的核心
  • 二、领导层知道你在做什么
  • 三、根据公司的运营现状阶段实施
  • 四、划分部门指导工作与培训
  • 五、和监管部门进行配合
相关产品与服务
Elasticsearch Service
腾讯云 Elasticsearch Service(ES)是云端全托管海量数据检索分析服务,拥有高性能自研内核,集成X-Pack。ES 支持通过自治索引、存算分离、集群巡检等特性轻松管理集群,也支持免运维、自动弹性、按需使用的 Serverless 模式。使用 ES 您可以高效构建信息检索、日志分析、运维监控等服务,它独特的向量检索还可助您构建基于语义、图像的AI深度应用。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档